CSP style-src：'unsafe-inline‘-值得吗？

Question

目前，我在我所有的网站上都使用了unsafe-inline，因为它的工作方式，所以需要允许使用它的样式。我已经不允许内联脚本和不安全的脚本求值。想知道允许内联样式有什么安全风险吗？

Answer 1

允许内联样式使您容易受到“其他XSS”的影响。跨站点样式攻击。

这里的想法是，用户可以在文档中注入样式属性的任何地方，他们都可以随心所欲地修改页面的外观。我将列出几个潜在的攻击，按严重程度排序：

1. 他们可以把你的页面变成粉色，让它看起来很傻。
2. 他们可以修改你的页面文本，让你看起来像是在说一些冒犯读者的话。
3. 他们可以让用户生成的内容，比如他们提供的链接，出现在人们期望看到用户内容的正常位置之外，使其看起来像是官方的。(例如，将站点上的“登录”按钮替换为他们自己的链接)。
4. 使用精心设计的样式规则，他们可以将页面上包含的任何信息发送到外部域，并暴露或以其他方式恶意使用这些数据来攻击您的用户。

第四个示例是，信息泄漏到外部域可以完全防止，尽管存在unsafe-inline，前提是您确保其他CSP规则永远不允许任何类型的请求去往不受信任的域或通配符域。但是，如果您错过了某个地方的样式属性块，那么前3个总是有可能的。

几年前，Mike West在这方面为CSSConf做了一个很好的talk，以获得更多的例子。